-
Junior Member
- Вес репутации
- 54
блокер (смс на 3649)
пару дней назад при загрузке Винды возникло "заставка" с предложением активировать Винду через смс. В безопасном режиме грузиться давал, но Avira ничего не нашла. LiveCD drWeb ничего не нашел тоже.
Прогуглил, код нашел, разлочил. но боюсь что последствия остались, да и к тому же на компе не один этот вирус, а по ходу целый зоопарк (csrcs.exe, sdra64.exe и ещё некоторые файлы в system32 постоянно возникают. источники их загрузки найти сам пока не могу - опыта не хватает )
Заранее спасибо!
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Пофиксите в HijackThis
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: MultiFrame.lnk = ?
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winlo_.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\gread32.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\gread32.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\winlo_.exe');
ExecuteRepair(16);
ExecuteRepair(7);
ExecuteRepair(3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Установите IE 8
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи в нормальном режиме.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин (http://virusinfo.info/upload_virus.php?tid=48242) вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Wild Spirit; 18.06.2009 в 22:51.
-
-
Junior Member
- Вес репутации
- 54
карантина нет.
логи прикладываю
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\SKYNETsknabwni.sys');
DeleteFileMask('C:\WINDOWS\system32', 'SKYNET*.*', true);
DeleteFileMask('C:\WINDOWS\Temp', 'SKYNET*.*', true);
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('SKYNETpukjfgjh');
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Обновите базы AVZ!
Сделайте новые логи по правилам + лог gmer.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 54
после перезагрузки не могу антивирус выгрузить. Ни через TaskManager, ни через Process Explorer - пишет "Error opening process - отказано в доступе"..
Диагностику с невыгруженным антивирусом нельзя же проводить, так? Что же делать?
-
Делайте. Не забудьте про лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
1. Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service SKYNETpukjfgjh
gmer.exe -del file C:\Windows\system32\drivers\SKYNETsknabwni.sys
gmer.exe -del file C:\Windows\system32\SKYNETttvvdrqf.dll
gmer.exe -del file C:\Windows\system32\SKYNETotypnire.dat
gmer.exe -del file C:\Windows\system32\SKYNETfwtvklta.dll
gmer.exe -del file C:\Windows\system32\SKYNETdvmluuqu.dat
gmer.exe -del file C:\Windows\system32\SKYNETwsp.dll
gmer.exe -del reg HKLM\SYSTEM\ControlSet003\Services\SKYNETpukjfgjh
gmer.exe -del reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNETpukjfgjh
gmer.exe -reboot
И запустите cleanup.bat. Компьютер перезагрузится.
2. Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\WINDOWS\system32', 'SKYNET*.*', true);
DeleteFileMask('C:\WINDOWS\Temp', 'SKYNET*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. Сделайте новый лог GMER.
Последний раз редактировалось Wild Spirit; 20.06.2009 в 01:14.
-
-
Junior Member
- Вес репутации
- 54
Последний раз редактировалось krexxxer; 19.09.2009 в 18:04.
-
I am not young enough to know everything...
-